Sdílet prostřednictvím

Připojení platformy analýzy hrozeb k Microsoft Sentinelu pomocí rozhraní API pro nahrání indikátorů

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Mnoho organizací používá řešení platformy pro analýzu hrozeb (TIP) k agregaci informačních kanálů indikátorů hrozeb z různých zdrojů. Z agregovaného informačního kanálu se data kurátorují tak, aby platila pro řešení zabezpečení, jako jsou síťová zařízení, řešení EDR/XDR nebo řešení pro správu informací o zabezpečení (SIEM), jako je Microsoft Sentinel. Pomocí rozhraní API indikátorů nahrávání analýzy hrozeb můžete tato řešení použít k importu indikátorů hrozeb do Služby Microsoft Sentinel.

Rozhraní API pro nahrání indikátorů indikátorů hrozeb ingestuje indikátory analýzy hrozeb do Služby Microsoft Sentinel bez nutnosti datového konektoru. Datový konektor zrcadlí pouze pokyny pro připojení ke koncovému bodu rozhraní API popsanému v tomto článku a referenční dokumentaci k rozhraní API pro rozhraní API pro nahrání indikátorů pro Microsoft Sentinel.

Snímek obrazovky znázorňující cestu importu analýzy hrozeb

Další informace o analýze hrozeb najdete v tématu Analýza hrozeb.

Důležité

Rozhraní API pro nahrání analýzy hrozeb v Microsoft Sentinelu je ve verzi Preview. Další právní podmínky, které se vztahují na funkce Azure v beta verzi, preview nebo které ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.

Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Další informace najdete v tématu Připojení microsoft Sentinelu k informačním kanálům PRO ANALÝZU hrozeb STIX/TAXII.

Poznámka:

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.

Požadavky

  • Pokud chcete nainstalovat, aktualizovat a odstranit samostatný obsah nebo řešení v centru obsahu, potřebujete roli Přispěvatel Microsoft Sentinelu na úrovni skupiny prostředků. Abyste mohli používat koncový bod rozhraní API, nemusíte instalovat datový konektor.
  • Abyste mohli ukládat indikátory hrozeb, musíte mít oprávnění ke čtení a zápisu do pracovního prostoru Microsoft Sentinelu.
  • Musíte být schopni zaregistrovat aplikaci Microsoft Entra.
  • Vaše aplikace Microsoft Entra musí mít na úrovni pracovního prostoru udělenou roli Přispěvatel Microsoft Sentinelu.

Pokyny

Pomocí těchto kroků naimportujte indikátory hrozeb do Služby Microsoft Sentinel z integrovaného řešení TIP nebo vlastní analýzy hrozeb:

  1. Zaregistrujte aplikaci Microsoft Entra a potom poznamenejte její ID aplikace.
  2. Vygenerujte a zaznamenejte tajný klíč klienta pro vaši aplikaci Microsoft Entra.
  3. Přiřaďte aplikaci Microsoft Entra roli Přispěvatel Microsoft Sentinelu nebo ekvivalentní roli.
  4. Nakonfigurujte řešení TIP nebo vlastní aplikaci.

Registrace aplikace Microsoft Entra

Výchozí oprávnění role uživatele umožňují uživatelům vytvářet registrace aplikací. Pokud se toto nastavení přepnulo na Ne, potřebujete oprávnění ke správě aplikací v Microsoft Entra. Mezi následující role Microsoft Entra patří požadovaná oprávnění:

  • Správce aplikace
  • Vývojář aplikace
  • Správce cloudové aplikace

Další informace o registraci aplikace Microsoft Entra naleznete v tématu Registrace aplikace.

Po registraci aplikace si poznamenejte ID aplikace (klienta) na kartě Přehled aplikace.

Generování a zaznamenání tajného klíče klienta

Teď, když je vaše aplikace zaregistrovaná, vygenerujte a zaznamenejte tajný klíč klienta.

Snímek obrazovky znázorňující generování tajných klíčů klienta

Další informace o generování tajného klíče klienta najdete v tématu Přidání tajného klíče klienta.

Přiřazení role k aplikaci

Rozhraní API pro nahrání ukazatelů ingestuje indikátory hrozeb na úrovni pracovního prostoru a umožňuje roli přispěvatele Služby Microsoft Sentinel s nejnižšími oprávněními.

  1. Na webu Azure Portal přejděte do pracovních prostorů služby Log Analytics.

  2. Vyberte Řízení přístupu (IAM) .

  3. Vyberte Přidat>Přidat přiřazení role.

  4. Na kartě Role vyberte roli Přispěvatel Microsoft Sentinelu a pak vyberte Další.

  5. Na kartě Členové vyberte Přiřadit přístup k>uživateli, skupině nebo instančnímu objektu.

  6. Vyberte členy. Ve výchozím nastavení se aplikace Microsoft Entra nezobrazují v dostupných možnostech. Pokud chcete aplikaci najít, vyhledejte ji podle názvu.

    Snímek obrazovky znázorňující roli Přispěvatel Microsoft Sentinelu přiřazenou aplikaci na úrovni pracovního prostoru

  7. Vyberte Zkontrolovat + přiřadit.

Další informace o přiřazování rolí k aplikacím najdete v tématu Přiřazení role k aplikaci.

Instalace datového konektoru rozhraní API indikátorů analýzy hrozeb v Microsoft Sentinelu (volitelné)

Nainstalujte datový konektor rozhraní API pro nahrání indikátorů analýzy hrozeb a podívejte se na pokyny k připojení rozhraní API z pracovního prostoru Služby Microsoft Sentinel.

  1. Pro Microsoft Sentinel na webu Azure Portal v části Správa obsahu vyberte Centrum obsahu.
    Pro Microsoft Sentinel na portálu Defender vyberte centrum obsahu pro správu>obsahu služby Microsoft Sentinel>.

  2. Vyhledejte a vyberte řešení Analýzy hrozeb .

  3. Vyberte tlačítko Instalovat/Aktualizovat.

    Další informace o správě komponent řešení najdete v tématu Zjišťování a nasazení obsahu před nasazením.

  4. Datový konektor je teď viditelný v konektorech konfiguračních>dat. Na stránce Datové konektory najdete další informace o tom, jak nakonfigurovat aplikaci pomocí tohoto rozhraní API.

    Snímek obrazovky znázorňující stránku Datové konektory se zobrazeným datovým konektorem rozhraní API pro nahrání indikátorů

Konfigurace řešení platformy analýzy hrozeb nebo vlastní aplikace

Rozhraní API pro indikátory nahrávání vyžaduje následující konfigurační informace:

  • ID aplikace (klienta)
  • Tajný klíč klienta
  • ID pracovního prostoru Služby Microsoft Sentinel

Zadejte tyto hodnoty do konfigurace integrovaného tipu nebo vlastního řešení tam, kde je to potřeba.

  1. Odešlete indikátory do rozhraní API indikátorů nahrávání služby Microsoft Sentinel. Další informace o rozhraní API pro indikátory nahrávání najdete v tématu Rozhraní API indikátorů nahrávání služby Microsoft Sentinel.

  2. Během několika minut by se indikátory hrozeb měly začít spouštět do pracovního prostoru Služby Microsoft Sentinel. Najděte nové indikátory v podokně Analýza hrozeb, které je přístupné z nabídky Microsoft Sentinelu.

  3. Stav datového konektoru odpovídá stavu Připojeno. Graf přijatých dat se po úspěšném odeslání indikátorů aktualizuje.

    Snímek obrazovky znázorňující datový konektor rozhraní API pro nahrání indikátorů v připojeném stavu

Související obsah

V tomto článku jste se dozvěděli, jak připojit tip k Microsoft Sentinelu. Další informace o používání indikátorů hrozeb v Microsoft Sentinelu najdete v následujících článcích: